[Dimas_83]

На лицо неверное написание правил и их порядок

1. Все правила публикации (правила 5 и 6) должны быть сверху после OWA
2. Зачем что-то запрещать, если можно не разрешать.
3. 10 правило - это нарушение безопасности в целом. УБРАТЬ!
4. 8 правило изменить в соответствии с доступом (по компьютерам или по учетным записям (FWC) )
5. для VPN нужно в разделе VPN ISA разрешить подключение по средствам PPTP или L2TP (IPSEC), далее выбрать кто и когда будет подключаться, через какие протоколы аутентификации, далее в правилам firewall создать для них правила VPN clients to Internal ну или куда нужно. Во вкладке Networks создать правило (если вдруг оно автоматом не создалось) для VPN clients to internal через Route
6. правила сетей не имеют приоритезации, но! правило NAT должно быть последним
7. установи Sp3 в случае ISA 2004. Включи Logging (Вкладка Monitoring). Все "забитые" пакеты будут помечаться красным. Очь удобно
8. скачай ISA Server Best Practices Analyzer, чтобы убедится (ну хоть в какой-то мере), что все в порядке

Прикрепил картику, может поможет